Een nieuw toegevoegde functie in een eerder bekende cryptomining-operatie is gericht op AWS-inloggegevens, volgens een rapport van beveiligingsbedrijf Cado Security.
De malwaregroep achter deze nieuwe campagne staat bekend als TeamTNT, een cybercrime-groep die zich heeft gericht op Docker-installaties. Volgens TrendMicro onderzoekers, deze groep is in ieder geval sinds april actief.
TeamTNT Cybercrime Gang
De cryptomining-bewerkingen van TeamTNT scannen meestal het internet op verkeerd geconfigureerde Docker-systemen, met hun beheer-API's zichtbaar en zonder wachtwoord. TeamTNT zou toegang krijgen tot de API om servers binnen de Docker-installatie uit te voeren om DDoS-aanvallen en cryptominers te initiëren. Dit gedrag is niet ongezien bij dergelijke aanvallen. Echter, de laatste toevoeging aan deze aanvallen is vrij uniek, aangezien de malwaregroep nu AWS steelt (Amazon Web Services) geloofsbrieven, en richt zich ook op Kubernetes-installaties.
De nieuw toegevoegde functie is in staat om de geïnfecteerde servers te scannen op AWS-inloggegevens. In het geval dat de gecompromitteerde Docker- en Kubernetes-systemen op AWS draaien, de malwaregroep zou zoeken naar ~ / .aws / credentials en ~ / .aws / config. Dan, het zou de bestanden kopiëren en uploaden naar zijn command-and-control-server.
“De code om AWS-inloggegevens te stelen is relatief eenvoudig: bij uitvoering worden de standaard AWS .credentials en .config-bestanden geüpload naar de server van de aanvaller, sayhi.bplace[.]netto“, het verslag zegt.
Volgens Cado Security, De worm van TeamTNT bevat code die is gekopieerd van een andere worm genaamd Kinsing, die is ontworpen om de Alibaba Cloud Security-tools te stoppen.
Kinsing is ontwikkeld en gelanceerd door een ervaren hackgroep en ingesteld tegen webservers. Volgens de beschikbare rapporten, de malware is gericht op een Docker-kwetsbaarheid als gevolg van een verkeerde configuratie van de service. De aanval is mogelijk wanneer de webbeheerders de Docker-installaties niet goed hebben beveiligd, een kans creëren voor de aanvallers.
Wat betreft de TeamTNT-operatie, de onderzoekers vermoeden dat de malware nog steeds geen van de gestolen AWS-inloggegevens heeft gebruikt. Blijkbaar, de onderzoekers stuurden een verzameling inloggegevens naar het TeamTNT C&C server, maar geen van deze accounts is geopend voordat hun rapport werd vrijgegeven.
Echter, wanneer TeamTNT besluit om de gestolen inloggegevens te gebruiken, ze kunnen cryptominers installeren of ze verkopen op ondergrondse fora.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: